Redes sociales

From FdIwiki ELP
Jump to: navigation, search

Las redes sociales son un término originado por la comunicación, siendo un conjunto delimitado de individuos, grupos, comunidades y organizaciones vinculados unos a otros a través de relaciones sociales. Esto fue el resultado de la convergencia de los medios, la economía política de los mismos y el desarrollo de tecnologías; teniendo como objetivo la interacción de dos o más canales. Freeman las define como ¨la colección más o menos precisa de conceptos y procedimientos analíticos y metodológicos que facilita la recogida de datos y el estudio sistemático de pautas y relaciones sociales entre la gente.


Introducción

El usuario debe conocer algunas reglas para mantener algún control sobre su información personal y la de tercero.

  • Los proveedores de servicios de redes sociales están obligados a respetar ciertos principios y obligaciones derivados del artículo 5 en esta materia. Por ello deberían:

Informar a los usuarios de su identidad y proporcionarles información clara y completa sobre las finalidades y las distintas maneras en que van a tratar los datos personales.

  • Establecer procedimientos que sean respetuosos con la intimidad. Para ello las políticas de privacidad deben ser claras y ofrecer el perfil del usuario preferentemente cerrado o en todo caso, que permita al usuario una fácil configuración.
  • Informar y advertir a sus usuarios frente a los riesgos de atentado a la intimidad cuando transfieren datos a los Servicios de Red Social SRS.
  • Recomendar a sus usuarios no poner en línea imágenes o información relativa a otras personas sin el consentimiento de éstas.
  • En la página inicial debería figurar un enlace hacia una oficina de reclamaciones, tanto para miembros como para no miembros, que cubra cuestiones de protección de datos.
  • Deberían establecer plazos máximos de conservación de los datos de los usuarios inactivos y suprimir las cuentas abandonadas.
  • Por lo que se refiere a los menores deberían adoptar medidas adecuadas con el fin de limitar los riesgos.


Regulación legal para la creación de perfiles en redes sociales

Cumplir con el deber de información

Debe aparecer el titular de la red social, con qué finalidad se ha creado y donde los usuarios tienen los derechos de acceso a cancelación y rectificación

Cumplir con la transparencia

Si una persona decide hacerse amigo lo normal es que se mande un correo de bienvenida informando de estas políticas antes nombradas

Consentimiento y fuentes accesibles al público

Si una persona decide hacerse usuario está consintiendo que se puedan tratar sus datos personales pero no para los datos de sus amigos que tienen el perfil abierto ya que la LOPD asegura que tener un perfil abierto no se considera fuente accesible al público.

Cuando la actividad del consultante quede limitada, al ámbito personal o familiar no será de aplicación la LOPD. Por el contrario, cuando no opere la exclusión prevista en el artículo 2 de dicha Ley, esto es, cuando la actividad supere dicho ámbito, dicha norma será aplicable, debiendo solicitarse el consentimiento de los padres o de los propios menores cuando estos tengan capacidad para prestarlo, tanto para la obtención de la imagen como para su publicación en la página web, en tanto que ésta última constituye una cesión o comunicación de datos de carácter personal tal y como viene definida por el artículo 3 j) de la LOPD, en el que dice ‘Cesión o comunicación de datos: toda revelación de datos realizada a una persona distinta del interesado.

La captación y reproducción de imágenes de los transeúntes en la calle, que constituyen datos de carácter personal, y su publicación en “YouTube”, accesible para cualquier usuario de Internet, se encuentra sometida al consentimiento de sus titulares, de conformidad con lo dispuesto en el artículo 6.1 de la LOPD ( El tratamiento de los datos de carácter personal requerirá el consentimiento inequívoco del afectado, salvo que la ley disponga otra cosa.

Derecho de los “amigos"

Rigen los derechos de acceso, rectificación , cancelación y oposición al tratamiento. El contenido del derecho de acceso vendrá definido por las posibilidades que ofrezca la red y la capacidad de acceso a información del perfil de cada usuario. El derecho de oposición, rectificación y cancelación se encontrará modulado: el responsable del tratamiento debería satisfacerlo sobre aquellos aspectos del aplicación que se encuentren bajo su control (modificar o eliminar datos un comentario del propio muro). La rectificación de aspectos relativos al perfil del usuario normalmente se ejercen ante la red social. La cancelación u oposición cuando consiste en “dejar de ser amigos” podría ser ejercida por ambas partes.

Algunos límites al uso de los datos

Principio de Calidad: Yo tengo que usar los datos únicamente para el fin con el que los he recogido y autorizado

Publicidades y marketing viral y/o compartimental

Dar consentimiento para que traten mis datos, analicen mis gustos y poder enviarme publicidad. Si no se da dicho consentimiento y se estará infringiendo el artículo 21 de la LOPD “Prohibición de comunicaciones comerciales a través de correo electrónico o medios de comunicación electrónica equivalentes. Queda prohibido el envío de comunicaciones publicitarias o promocionales por correo electrónico y otro medio de comunicación electrónica equivalente que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de las mismas” cuyas sanciones iran entre 60€-30.000€ . Del mismo modo, se infringirá el artículo 5: Derecho de información en la recogida de datos cuyas sanciones irena entre 900€-40.000€. Por otro lado el tratamiento de datos personales sin consentimiento se considera una sanción grave con sanciones de entre 600€-300.000€.

Responsabilidad

Artículo 5 del Real Decreto 1720/2007 se define a la figura del responsable del fichero o del tratamiento del fichero como : Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que sólo o conjuntamente con otros decida sobre la finalidad, contenido y uso del tratamiento, aunque no lo realizase materialmente. Podrán ser también responsables del fichero o del tratamiento los entes sin personalidad jurídica que actúen en el tráfico como sujetos diferenciados”.

Informe 0184/2013

Resuelve las dudas respecto a la Ley Orgánica 15/1999 de protección de datos de carácter personal respecto a la creación de una red social en la que existirán 3 tipos de perfiles:

  • Personas fícias.
  • Profesionales o autónomos.
  • Empresas (que podrán dar de alta a empleados).

I

1. En primer lugar, la persona o personas que proporcionan dicho servicio de red social tedrán la condición de responsable como figura en el artículo 3 d), es decir, como la "persona física o juridica, de naturaleza pública o privada, u órgano administrativo, que decida sobrel a finalidad, contenido y uso del tratamiento."

En este sentido, el Grupo de trabajo del artículo 29 en su Dictamen 5/2009 relativo a las redes sociales en línea, determina que los proovedores de servicios de redes sociales "son responsables del tratamiento de datos en virtud ala Directiva de protección de datos. Proporcionan los medios que permiten tratar los datos a los usuario, así como todos los servicios «básicos» vinsulados a la gestión de usuario." Por ejemplo el registro y la supresión de cuentas.

Por lo que será la persona que proporciona el servicio de la red soial, como responsable del fichero, el que estará sujeto a toas las obligaciones y deberes impuestos por la Ley Orgánica 15/1999

2. Los datos personales de terceros que sean tratados por una persona física dentro de la red social pueden quedar excluidos de la aplicación de la ley de protección de datos.

Sólo se consideran actividades personales las que se puedan enmarcar dentro de la vida privada o familiar de los usuarios de dicha red social, es decir, aquellos datos que afecten a la esfera más íntima de la persona, a sus relaciones familiares y de amistar y que la finalidad del tratamiento de estos datos sea la de surtir efectos en estos ámbitos.

Si dará lugar a la aplicación de la Ley Orgánica 15/1999 si la publicación supera el ámbito de la vida privada o familiar del tercero y no existen limitaciones de acceso al perfil del mismo, y a que constituye una cesión de datos.

3. Cuando la persona física utilice la red social acutando en nombre de una empresa o de una asociación o como plataforma con fines comerciales, políticos o sociales, asume las obligaciones de un responsable de datos que está relevando datos personales al servicio de redes sociales y a terceros.

Está será la posición de los profesionales o autónomos que utilicen la red social no como particulares, sino para sus propios fines.

II

Los responsables de la red social que antes se han mencionado llevarán a cabo el tratamiento de los datos personales de terceros de "cualquier operación o procedimiento técnico, automatizado o no, que permita la recogida, grabación, conservación, elaboración, modificación, consulta, utilización, cancelación, bloqueo o supresión, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias."

En cuanto al tratamiento de datos de carácter personal, "requeríra el consentimiento inequívoco del afectado, salvo que la Ley disponga de otra cosa."

1. El que debe ser dar consentimiento para el tratamiento de los datos personales será el interesado, de forma que se encuentre con la "manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen".

Consentimiento libre se refiere a aquel que ha sido obtenido sin la intervención de vicio alguno del consentimiento en los términos regulados por el Código Civil.

Consentimiento específico viene referido a una determinada operación de tratamiento y para una finalidad determinada, explícita y legítima del tratamiento.

Para el consentimiento inequívoco se exige la realización de una acción u omisión que implique la existencia del consentimiento.

En cuanto a la información, supone que el afectado conoce con anterioridad al tratamiento la existencia de este y las finalidades que tiene. por lo que los interesados a los que les soliciten datos personales deberán ser informatos de:

  • La existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de los mismos y de los destinatarios de la información.
  • El carácter obligatorio o facultativo de su respuesta a las preguntas que se les planteen.
  • Las consecuencias de la obtención de los datos o de la negativa de suministrarlos.
  • La posibilidad de ejercitar a los derechos de acceso, rectificación, cancelación y oposición.
  • La identidad y la dirección del responsables del tratamiento o de su representante.

Los proveedores también deberán informas si:

  • Se utilizan los datos con fines de comercialización directa.
  • Se distribuirán datos a categorías específicas de terceros.
  • Cómo se crearán los perfiles y cuáles serán sus fuentes de datos.
  • Se utilizarán datos sensibles.

En cuanto la prueba de la obtención del consentimiento, será el responsable del tratamiento quien deberá acreditar de su existencia por cualquier medio de prueba admisible en derecho.

En cuanto a los datos que hagan referencia al origen racial, a la salud y a la vida sexual, el consentimiento deberá ser expreso. Si ademas los datos revelas ideología, la afiliación sindical, la religión y las creencias, el consentimiento deberá ser también por escrito.

En cuanto a la recogida de datos online, deberá existir una política de privacidad fácilmente accesible por el usuario, que además de servir como acreditación del cumplimiento del deber de información, sirva como prueba de que el programa impide introducir los datos sin antes haber aceptado dicha política de privacidad. Así, el encargado del tratamiento no podrá modificar sus términos sin obtener un nuevo consentimiento informado.

Además, los datos de carácter personal sólo se podrán recoger para su tratamiento, cuando sean adecuados, pertinentes y no excesivos con el ámbito y las finalidades para las que se hayan obtenido, que deberán constar en la política de privacidad y ser determinadas, explícitas y legítimas.

2. Cuando el tratamiento de datos personales por parte de profesionales, particulares, autónomos o empresarios exceda del ámbito personal o doméstico se exigirá el consentimiento de los interesados.

La consulta de datos de carácter personal no especifica entre particulares y empresas, por lo que la red social debe articular algún mecanismo para facilitar a responsables distintos del proveedor el cumplimiento de sus obligaciones en materia de protección de datos.

El carácter de inequívoco implica implica la existencia del consentimiento, por lo que no sabe el tratamiento de datos de terceros que no lo hayan prestado, ya que dicha circunstancia no implica el consentimiento de sus titulares para el tratamiento de los datos personales contenidos en su perfil aunque se encuentre abierto.

El tratamiento de los datos se encuentra limitado por el principio de proporcionalidad recogido en el artículo 4.1 de la Ley Orgánica 15/1999, de modo que la utilización de la información contenida en el perfil de los que hayan prestado el consentimiento se ciñe a los datos estrictamente necesarios para lograr la finalidad para la que se ha prestado el consentimiento.

Si se pretendiera además recolectar datos adicionales contenidos en el perfil, se deberá informar al interesado de la finalidad del tratamiento de esos datos y obtener su consentimiento.

En cuanto a los empleados de empresas o profesionales y autónomos, podrán dar de alta a sus empleados, sin tener en cuenta los datos personales que puedan tratarse ni el tratamiento que se pueda llevar a cabo, ya que esto constituye una cesión de datos de carácter personal.

Aunque, hay que examinar si la comunicación de datos de carácter personal del trabajador forma parte del contrato de trabajo y si se ajusta a los principios de protección de datos, sobre todo al de proporcionalidad. Un ejemplo de cesión legítima: un trabajador contratado para ser la imagen de la empresa.

III

La difusión de datos personales en una red social que no se ajuste a los principios señalados en la Ley Orgánica 15/1999 dará lugar a una infracción de la ley imputable en cada caso al responsable del tratamiento contrario a ella.

Dicho esto, cabe recordar la Sentencia de 2 de enero de 2013 de la Audiencia Nacional, de una Resolución declarando una infracción por vulneración del principio de consentimiento (recogido en el artículo 6 de la Ley Orgánica 15/1999), por la difusión efectuada por un usuario de Facebook de un vídeo en su muro, libremente accesible a cualquier usuario de dicha red social, en el que aparece conversando con un grupo de escolares menores de edad (de entre 7 y 8 años) que miran a la cámara y cuyo rostro resulta identificable, sin que dicho usuario de la red social hubiera obtenido para dicha difusión el consentimiento de sus padres o tutores.

Aunque en una red social sean los propios usuarios quienes hacen públicos datos personales y a ellos a quien se imputaría, el proveedor de la red social se encuentra obligado a adoptar las pertinentes medidas de seguridad tal y como establece el artículo 9.1 de la Ley Orgánica 15/1999 según el cual:

“El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.”

De este modo la inexistencia de medidas de seguridad o su inadecuación que permitan un acceso fuera del ámbito de los contactos elegidos por el usuario determinarían la responsabilidad del responsable de la red social.

“Un tratamiento seguro de la información es un elemento clave para la confianza en los SRS. Los responsables deben adoptar las medidas técnicas y de organización apropiadas «tanto en el momento de la concepción del sistema de tratamiento como en el de la aplicación de los tratamientos mismos» con objeto de garantizar la seguridad e impedir todo tratamiento no autorizado, habida cuenta de los riesgos que presente el tratamiento y la naturaleza de los datos que deban protegerse.”

Un elemento importante de los parámetros de confidencialidad es el acceso a los datos personales publicados en un perfil. Si no existe ninguna restricción a tal acceso, los terceros podrán acceder a toda clase de detalles íntimos sobre los usuarios, bien como miembros del SRS, o mediante motores de búsqueda.

Sin embargo, solamente una minoría de usuarios que se registran en tal servicio modifican los parámetros por defecto. Los perfiles de acceso limitado no deberían ser localizables por los motores de búsqueda internos, incluso por la función de búsqueda por parámetros como la edad o el lugar.

En materia de responsabilidad, además de la protección otorgada por laLey Orgánica 15/1999, la publicación de vídeos o fotografías de terceros sin su consentimiento puede infringir su derecho al honor, a la intimidad o a la propia imagen, derechos cuya protección se rige por lo dispuesto en la Ley Orgánica 1/1982, de 5 de mayo, de protección civil del derecho al honor, a la intimidad personal y familiar y a la propia imagen.

Asimismo, El Grupo de Trabajo de la SRS recomienda que:

  • Los proveedores de SRS adviertan adecuadamente a los usuarios sobre los riesgos de ataque a su intimidad y a la de otros cuando ponen información en línea.
  • Los SRS recuerden a sus usuarios que poner en línea información relativa a otras personas puede perjudicar su derecho a la intimidad y a la protección de datos.
  • Los SRS aconsejen a sus usuarios que no pongan en línea fotografías o información relativa a otras personas sin el consentimiento de éstas.


IV

Entre los derechos de los interesados, y la obligación de hacer efectivos los mismos por parte del proveedor de la red social, se encuentran los derechos de acceso, rectificación, cancelación y oposición regulados en los artículos 15 y siguientes de la LOPD y en los artículo 23 a 36 de su Reglamento de desarrollo.

Debe señalarse que el ejercicio de estos derechos no se encuentra restringido a los usuarios de la red social sino que corresponde a cualquier persona cuyos datos se traten, por lo que la red social deberá proporcionar un medio para ejercer dichos derechos. El artículo 24 dice al respecto que:

“Deberá concederse al interesado un medio, sencillo y gratuito para el ejercicio de los derechos de acceso, rectificación, cancelación y oposición."

Asimismo, la LODP exige, con carácter general, el consentimiento del interesado para el tratamiento y cesión de datos, permite, igualmente, la revocación del mismo, esto es, que el interesado pueda exigir el cese en el tratamiento de sus datos mediante manifestación de voluntad, tal y como se recoge en los artículos 6.3 y 11.4, siendo en estos supuestos el procedimiento a seguir el regulado en el artículo 17 del Reglamento.

V

Debe tenerse en cuenta que el tratamiento de datos efectuado por el responsable de la red social deberá respetar el principio de conservación, previsto en el artículo 4.5 de la LODP, según el cual:

“Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados”.

Respecto del plazo de cancelación, establece el artículo 16. 5 de la LODP que:

“Los datos de carácter personal deberán ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado”.

El artículo 8.6 del Reglamento de desarrollo de la LODP, dispone que:

“Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados. No obstante, podrán conservarse durante el tiempo en que pueda exigirse algún tipo de responsabilidad derivada de una relación u obligación jurídica o de la ejecución de un contrato o de la aplicación de medidas precontractuales solicitadas por el interesado. Una vez cumplido el período al que se refieren los párrafos anteriores, los datos sólo podrán ser conservados previa disociación de los mismos, sin perjuicio de la obligación de bloqueo".

La cancelación de los datos no supone su eliminación automática, sino su bloqueo tal y como dispone el artículo 16.3 al establecer que:

“La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. Cumplido el citado plazo deberá procederse a la supresión.”

El Reglamento de desarrollo de la LODP, define en su artículo 5.1. b) la cancelación como:

“Procedimiento en virtud del cual el responsable cesa en el uso de los datos. La cancelación implicará el bloqueo de los datos, consistente en la identificación y reserva de los mismos con el fin de impedir su tratamiento excepto para su puesta a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento y sólo durante el plazo de prescripción de dichas responsabilidades. Transcurrido ese plazo deberá procederse a la supresión de los datos".

En cuanto al modo de llevar a cabo el bloqueo, se señalaba en el informe que “deberá efectuarse de forma tal que no sea posible el acceso a los datos por parte del personal que tuviera habitualmente tal acceso, por ejemplo, el personal que preste sus servicios en el centro consultante, limitándose el acceso a una persona con la máxima responsabilidad y en virtud de la existencia de un requerimiento judicial o administrativo a tal efecto. De este modo, pese a permanecer el tratamiento de los datos, el acceso a los mismos quedaría enteramente restringido a las personas a las que se ha hecho referencia.”

Los datos deberán cancelarse una vez hayan dejado de ser necesarios para la finalidad para la que se recabaron, lo que deberá determinarse en cada caso, manteniéndose bloqueados, al menos durante el tiempo necesario para la prescripción de las acciones que pudieran derivarse de la relación jurídica que vincula al consultante con los usuarios de sus servicios, el plazo de prescripción previsto en el artículo 47.1 o los establecidos en otras normas con rango de Ley que resulten de aplicación al caso, debiendo eliminarse los datos una vez transcurridos dichos plazos.

Por otra parte, en el Dictamen del 2009 al referirse al deber de conservación señala que:

“Los datos personales comunicados por un usuario cuando se registra en una red social, deberían suprimirse en cuanto el usuario o el proveedor decida suprimir la cuenta. Del mismo modo, la información suprimida por el usuario cuando actualice su cuenta no debería conservarse. Los SRS deberían informar a los usuarios antes de proceder a estos trámites, a través de los medios de que disponen, sobre estos períodos de conservación. Por razones jurídicas y de seguridad, podría justificarse conservar datos y cuentas actualizados o suprimidos durante un período de tiempo determinado con el fin de contribuir a impedir las operaciones maliciosas resultantes de la usurpación de identidad y demás infracciones o delitos. Cuando un usuario no utiliza el servicio durante un período determinado, el perfil debería desactivarse, es decir, dejar de ser visible por otros usuarios o por el mundo exterior y, después de otro periodo, los datos de la cuenta abandonada deberían suprimirse. Los SRS deberían informar a los usuarios antes de proceder a estos trámites a través de los medios de que dispongan.”